跨进程获取指定32位进程中的DLL里的API函数地址

Canada · 发表于 4 天前

本帖最后由 Canada 于 2025-5-7 17:02 编辑

子程序名	返回值类型	公开	备注
GetProcAddressEx	整数型
参数名	类型	参考	可空	数组	备注
进程句柄	整数型				目标进程句柄,通过打开进程获得自身进程填写-1
模块句柄	整数型				已经装载到目标进程中的DLL动态链接库的模块句柄
函数名	文本型

变量名	类型	静态	数组	备注
_局部1	整数型
_局部2	整数型
_局部3	整数型
_局部4	整数型
_局部5	字节集
_局部6	整数型
_局部7	整数型

_局部2 ＝ VirtualAllocEx (进程句柄, 0, 取文本长度 (函数名), 4096, 4)

如果真 (_局部2 ＝ 0)

返回 (0)
WriteProcessMemory_字节集 (进程句柄, _局部2, 到字节集 (函数名), 取文本长度 (函数名), 0)
_局部4 ＝ GetProcAddress (GetModuleHandleA (“Kernel32”), “GetProcAddress”)
_局部5 ＝ { 184 } ＋到字节集 (_局部4) ＋ { 104 } ＋到字节集 (_局部2) ＋ { 104 } ＋到字节集 (模块句柄) ＋ { 255, 208, 195, 144 }
_局部3 ＝ VirtualAllocEx (进程句柄, 0, 取字节集长度 (_局部5), 4096, 4)

如果真 (_局部3 ＝ 0)

VirtualFreeEx (进程句柄, _局部2, 0, 32768)

返回 (0)
WriteProcessMemory_字节集 (进程句柄, _局部3, _局部5, 取字节集长度 (_局部5), 0)
_局部6 ＝ CreateRemoteThread (进程句柄, 0, 0, _局部3, 0, 0, 0)

如果真 (_局部6 ＝ 0)

VirtualFreeEx (进程句柄, _局部2, 0, 32768)

VirtualFreeEx (进程句柄, _局部3, 0, 32768)

返回 (0)
WaitForSingleObject (_局部6, 4294967295)
GetExitCodeThread (_局部6, _局部7)
VirtualFreeEx (进程句柄, _局部2, 0, 32768)
VirtualFreeEx (进程句柄, _局部3, 0, 32768)
CloseHandle (_局部6)
返回 (_局部7)

.版本 2<br />
<br />
.子程序 GetProcAddressEx, 整数型, 公开, <br />
.参数 进程句柄, 整数型, , 目标进程句柄,通过打开进程获得 自身进程填写-1<br />
.参数 模块句柄, 整数型, , 已经装载到目标进程中的DLL动态链接库的模块句柄<br />
.参数 函数名, 文本型<br />
.局部变量 _局部1, 整数型<br />
.局部变量 _局部2, 整数型<br />
.局部变量 _局部3, 整数型<br />
.局部变量 _局部4, 整数型<br />
.局部变量 _局部5, 字节集<br />
.局部变量 _局部6, 整数型<br />
.局部变量 _局部7, 整数型<br />
<br />
_局部2 ＝ VirtualAllocEx (进程句柄, 0, 取文本长度 (函数名), 4096, 4)<br />
.如果真 (_局部2 ＝ 0)<br />
    返回 (0)<br />
.如果真结束<br />
WriteProcessMemory_字节集 (进程句柄, _局部2, 到字节集 (函数名), 取文本长度 (函数名), 0)<br />
_局部4 ＝ GetProcAddress (GetModuleHandleA (“Kernel32”), “GetProcAddress”)<br />
_局部5 ＝ { 184 } ＋ 到字节集 (_局部4) ＋ { 104 } ＋ 到字节集 (_局部2) ＋ { 104 } ＋ 到字节集 (模块句柄) ＋ { 255, 208, 195, 144 }<br />
_局部3 ＝ VirtualAllocEx (进程句柄, 0, 取字节集长度 (_局部5), 4096, 4)<br />
.如果真 (_局部3 ＝ 0)<br />
    VirtualFreeEx (进程句柄, _局部2, 0, 32768)<br />
    返回 (0)<br />
.如果真结束<br />
WriteProcessMemory_字节集 (进程句柄, _局部3, _局部5, 取字节集长度 (_局部5), 0)<br />
_局部6 ＝ CreateRemoteThread (进程句柄, 0, 0, _局部3, 0, 0, 0)<br />
.如果真 (_局部6 ＝ 0)<br />
    VirtualFreeEx (进程句柄, _局部2, 0, 32768)<br />
    VirtualFreeEx (进程句柄, _局部3, 0, 32768)<br />
    返回 (0)<br />
.如果真结束<br />
WaitForSingleObject (_局部6, 4294967295)<br />
GetExitCodeThread (_局部6, _局部7)<br />
VirtualFreeEx (进程句柄, _局部2, 0, 32768)<br />
VirtualFreeEx (进程句柄, _局部3, 0, 32768)<br />
CloseHandle (_局部6)<br />
返回 (_局部7)

以上扣自某模块是可用的。后来又在网上搜到一份 blog.csdn.net/Sidyhe/article/details/8267021，让AI翻译加修改：

子程序名	返回值类型	公开	备注
GetProcAddressEx1	整数型
参数名	类型	参考	可空	数组	备注
hProcess	整数型
hModule	整数型
函数名	文本型

变量名	类型	静态	数组	备注
dosHeader	IMAGE_DOS_HEADER
ntHeaders	IMAGE_NT_HEADERS
exportDir	IMAGE_EXPORT_DIRECTORY
addressOfFunctions	整数型		0
addressOfNames	整数型		0
addressOfOrdinals	短整数型		0
i	整数型
nameRva	整数型
funcName	文本型
exportRva	整数型

' 读取DOS头

如果真 (ReadProcessMemory_dosHeader (hProcess, hModule, dosHeader, 64, 0) ＝假) ' DOS头固定64字节

返回 (0)

' 调试输出 (“dosHeader.e_magic”, dosHeader.e_magic) ' e_magic=0x5A4D=23117
' 读取NT头（偏移e_lfanew，大小248字节）

如果真 (ReadProcessMemory_ntHeaders (hProcess, hModule ＋ dosHeader.e_lfanew, ntHeaders, 248, 0) ＝ 0)

返回 (0)

' 获取导出表RVA（DataDirectory[0]的VirtualAddress）
exportRva ＝ ntHeaders.OptionalHeader.DataDirectory [1].VirtualAddress
' 调试输出 (“exportRva”, exportRva)
' 读取导出表

如果真 (ReadProcessMemory_exportDir (hProcess, hModule ＋ exportRva, exportDir, 40, 0) ＝ 0) ' IMAGE_EXPORT_DIRECTORY大小40字节

调试输出 (“读取导出表失败”)

返回 (0)

' 准备数组
' 调试输出 (exportDir.NumberOfFunctions, exportDir.NumberOfNames)
重定义数组 (addressOfFunctions, 假, exportDir.NumberOfFunctions)
重定义数组 (addressOfNames, 假, exportDir.NumberOfNames)
重定义数组 (addressOfOrdinals, 假, exportDir.NumberOfNames)
' 读取函数地址表
ReadProcessMemory_intarray (hProcess, hModule ＋ exportDir.AddressOfFunctions, addressOfFunctions, exportDir.NumberOfFunctions × 4, 0)
' 读取名称表
ReadProcessMemory_intarray (hProcess, hModule ＋ exportDir.AddressOfNames, addressOfNames, exportDir.NumberOfNames × 4, 0)
' 读取序号表
ReadProcessMemory_shortarray (hProcess, hModule ＋ exportDir.AddressOfNameOrdinals, addressOfOrdinals, exportDir.NumberOfNames × 2, 0)
' 遍历名称表

计次循环首 (exportDir.NumberOfNames, i)

nameRva ＝ addressOfNames [i]

funcName ＝取空白文本 (取文本长度 (函数名))

如果真 (ReadProcessMemory_文本型 (hProcess, hModule ＋ nameRva, funcName, 取文本长度 (函数名), 0) ＝假)

调试输出 (“读取函数名失败”)

返回 (0)

' 调试输出 (“funcName”, funcName，“nameRva”, nameRva)

如果真 (funcName ＝函数名)

返回 (hModule ＋ addressOfFunctions [addressOfOrdinals [i] ＋ 1]) ' 易语言数组从1开始

计次循环尾 ()
返回 (0)

子程序名	返回值类型	公开	备注
GetProcAddressEx2	整数型		和GetProcAddressEx1一样的，只是练习一下读内存字节集的方式，数偏移
参数名	类型	参考	可空	数组	备注
hProcess	整数型
hModule	整数型
函数名	文本型

变量名	类型	静态	数组	备注
dosHeader	字节集
ntHeaders	字节集
exportDir	字节集
addressOfFunctions	整数型		0
addressOfNames	整数型		0
addressOfOrdinals	短整数型		0
i	整数型
nameRva	整数型
funcName	文本型
exportRva	整数型
numberOfNames	整数型
addressOfFunctionsRva	整数型
addressOfNamesRva	整数型
addressOfOrdinalsRva	整数型

' 读取DOS头
dosHeader ＝取空白字节集 (64)

如果真 (ReadProcessMemory_Bin (hProcess, hModule, dosHeader, 64, 0) ＝ 0) ' DOS头固定64字节

返回 (0)
' 检查"MZ"签名

如果真 (取字节集数据 (dosHeader, #短整数型, 1) ≠ 23117) ' e_magic=0x5A4D

调试输出 (“MZ签名错误”)

返回 (0)

' 读取NT头（偏移e_lfanew，大小248字节）
ntHeaders ＝取空白字节集 (248)

如果真 (ReadProcessMemory_Bin (hProcess, hModule ＋取字节集数据 (dosHeader, #整数型, 61), ntHeaders, 248, 0) ＝ 0)

返回 (0)

' 获取导出表RVA（DataDirectory[0]的VirtualAddress）
exportRva ＝取字节集数据 (ntHeaders, #整数型, 121) ' ntHeaders.OptionalHeader.DataDirectory [1].VirtualAddress相对于ntHeaders的固定偏移120+1
' 调试输出 (“exportRva”, exportRva)
' 读取导出表
exportDir ＝取空白字节集 (40)

如果真 (ReadProcessMemory_Bin (hProcess, hModule ＋ exportRva, exportDir, 40, 0) ＝ 0) ' IMAGE_EXPORT_DIRECTORY大小40字节

调试输出 (“读取导出表失败”)

返回 (0)

numberOfNames ＝取字节集数据 (exportDir, #整数型, 24 ＋ 1)  ' NumberOfNames偏移24
addressOfFunctionsRva ＝取字节集数据 (exportDir, #整数型, 28 ＋ 1)  ' AddressOfFunctions偏移28
addressOfNamesRva ＝取字节集数据 (exportDir, #整数型, 32 ＋ 1)  ' AddressOfNames偏移32
addressOfOrdinalsRva ＝取字节集数据 (exportDir, #整数型, 36 ＋ 1)  ' AddressOfNameOrdinals偏移36

如果真 (numberOfNames ≤ 0)

调试输出 (“未读取到任何函数”)

返回 (0)

' 准备数组
重定义数组 (addressOfFunctions, 假, 取字节集数据 (exportDir, #整数型, 20 ＋ 1))
重定义数组 (addressOfNames, 假, numberOfNames)
重定义数组 (addressOfOrdinals, 假, numberOfNames)
' 读取函数地址表
ReadProcessMemory_intarray (hProcess, hModule ＋ addressOfFunctionsRva, addressOfFunctions, 取数组成员数 (addressOfFunctions) × 4, 0)
' 读取名称表
ReadProcessMemory_intarray (hProcess, hModule ＋ addressOfNamesRva, addressOfNames, 取数组成员数 (addressOfNames) × 4, 0)
' 读取序号表
ReadProcessMemory_shortarray (hProcess, hModule ＋ addressOfOrdinalsRva, addressOfOrdinals, 取数组成员数 (addressOfOrdinals) × 2, 0)
' 遍历名称表

计次循环首 (numberOfNames, i)

nameRva ＝ addressOfNames [i]

funcName ＝取空白文本 (取文本长度 (函数名))

如果真 (ReadProcessMemory_文本型 (hProcess, hModule ＋ nameRva, funcName, 取文本长度 (函数名), 0) ＝假)

调试输出 (“读取函数名失败”)

返回 (0)

' 调试输出 (“funcName”, funcName，“nameRva”, nameRva)

如果真 (funcName ＝函数名)

返回 (hModule ＋ addressOfFunctions [addressOfOrdinals [i] ＋ 1]) ' 易语言数组从1开始

计次循环尾 ()
返回 (0)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br />
.支持库 spec<br />
<br />
.子程序 GetProcAddressEx1, 整数型<br />
.参数 hProcess, 整数型<br />
.参数 hModule, 整数型<br />
.参数 函数名, 文本型<br />
.局部变量 dosHeader, IMAGE_DOS_HEADER<br />
.局部变量 ntHeaders, IMAGE_NT_HEADERS<br />
.局部变量 exportDir, IMAGE_EXPORT_DIRECTORY<br />
.局部变量 addressOfFunctions, 整数型, , "0"<br />
.局部变量 addressOfNames, 整数型, , "0"<br />
.局部变量 addressOfOrdinals, 短整数型, , "0"<br />
.局部变量 i, 整数型<br />
.局部变量 nameRva, 整数型<br />
.局部变量 funcName, 文本型<br />
.局部变量 exportRva, 整数型<br />
<br />
' 读取DOS头<br />
.如果真 (ReadProcessMemory_dosHeader (hProcess, hModule, dosHeader, 64, 0) ＝ 假)  ' DOS头固定64字节<br />
    返回 (0)<br />
.如果真结束<br />
<br />
' 调试输出 (“dosHeader.e_magic”, dosHeader.e_magic)  ' e_magic=0x5A4D=23117<br />
<br />
' 读取NT头（偏移e_lfanew，大小248字节）<br />
.如果真 (ReadProcessMemory_ntHeaders (hProcess, hModule ＋ dosHeader.e_lfanew, ntHeaders, 248, 0) ＝ 0)<br />
    返回 (0)<br />
.如果真结束<br />
<br />
' 获取导出表RVA（DataDirectory[0]的VirtualAddress）<br />
exportRva ＝ ntHeaders.OptionalHeader.DataDirectory [1].VirtualAddress<br />
' 调试输出 (“exportRva”, exportRva)<br />
<br />
' 读取导出表<br />
.如果真 (ReadProcessMemory_exportDir (hProcess, hModule ＋ exportRva, exportDir, 40, 0) ＝ 0)  ' IMAGE_EXPORT_DIRECTORY大小40字节<br />
    调试输出 (“读取导出表失败”)<br />
    返回 (0)<br />
.如果真结束<br />
<br />
' 准备数组<br />
' 调试输出 (exportDir.NumberOfFunctions, exportDir.NumberOfNames)<br />
<br />
重定义数组 (addressOfFunctions, 假, exportDir.NumberOfFunctions)<br />
重定义数组 (addressOfNames, 假, exportDir.NumberOfNames)<br />
重定义数组 (addressOfOrdinals, 假, exportDir.NumberOfNames)<br />
<br />
' 读取函数地址表<br />
ReadProcessMemory_intarray (hProcess, hModule ＋ exportDir.AddressOfFunctions, addressOfFunctions, exportDir.NumberOfFunctions × 4, 0)<br />
' 读取名称表<br />
ReadProcessMemory_intarray (hProcess, hModule ＋ exportDir.AddressOfNames, addressOfNames, exportDir.NumberOfNames × 4, 0)<br />
' 读取序号表<br />
ReadProcessMemory_shortarray (hProcess, hModule ＋ exportDir.AddressOfNameOrdinals, addressOfOrdinals, exportDir.NumberOfNames × 2, 0)<br />
<br />
' 遍历名称表<br />
.计次循环首 (exportDir.NumberOfNames, i)<br />
    nameRva ＝ addressOfNames <i><br />
    funcName ＝ 取空白文本 (取文本长度 (函数名))<br />
    .如果真 (ReadProcessMemory_文本型 (hProcess, hModule ＋ nameRva, funcName, 取文本长度 (函数名), 0) ＝ 假)<br />
        调试输出 (“读取函数名失败”)<br />
        返回 (0)<br />
    .如果真结束<br />
    ' 调试输出 (“funcName”, funcName，“nameRva”, nameRva)<br />
    .如果真 (funcName ＝ 函数名)<br />
        返回 (hModule ＋ addressOfFunctions [addressOfOrdinals <i> ＋ 1])  ' 易语言数组从1开始<br />
    .如果真结束<br />
<br />
.计次循环尾 ()<br />
返回 (0)<br />
<br />
.子程序 GetProcAddressEx2, 整数型, , 和GetProcAddressEx1一样的，只是练习一下读内存字节集的方式，数偏移<br />
.参数 hProcess, 整数型<br />
.参数 hModule, 整数型<br />
.参数 函数名, 文本型<br />
.局部变量 dosHeader, 字节集<br />
.局部变量 ntHeaders, 字节集<br />
.局部变量 exportDir, 字节集<br />
.局部变量 addressOfFunctions, 整数型, , "0"<br />
.局部变量 addressOfNames, 整数型, , "0"<br />
.局部变量 addressOfOrdinals, 短整数型, , "0"<br />
.局部变量 i, 整数型<br />
.局部变量 nameRva, 整数型<br />
.局部变量 funcName, 文本型<br />
.局部变量 exportRva, 整数型<br />
.局部变量 numberOfNames, 整数型<br />
.局部变量 addressOfFunctionsRva, 整数型<br />
.局部变量 addressOfNamesRva, 整数型<br />
.局部变量 addressOfOrdinalsRva, 整数型<br />
<br />
<br />
' 读取DOS头<br />
dosHeader ＝ 取空白字节集 (64)<br />
.如果真 (ReadProcessMemory_Bin (hProcess, hModule, dosHeader, 64, 0) ＝ 0)  ' DOS头固定64字节<br />
    返回 (0)<br />
.如果真结束<br />
' 检查"MZ"签名<br />
.如果真 (取字节集数据 (dosHeader, #短整数型, 1) ≠ 23117)  ' e_magic=0x5A4D<br />
    调试输出 (“MZ签名错误”)<br />
    返回 (0)<br />
.如果真结束<br />
<br />
' 读取NT头（偏移e_lfanew，大小248字节）<br />
ntHeaders ＝ 取空白字节集 (248)<br />
.如果真 (ReadProcessMemory_Bin (hProcess, hModule ＋ 取字节集数据 (dosHeader, #整数型, 61), ntHeaders, 248, 0) ＝ 0)<br />
    返回 (0)<br />
.如果真结束<br />
<br />
' 获取导出表RVA（DataDirectory[0]的VirtualAddress）<br />
exportRva ＝ 取字节集数据 (ntHeaders, #整数型, 121)  ' ntHeaders.OptionalHeader.DataDirectory [1].VirtualAddress相对于ntHeaders的固定偏移120+1<br />
' 调试输出 (“exportRva”, exportRva)<br />
<br />
' 读取导出表<br />
exportDir ＝ 取空白字节集 (40)<br />
.如果真 (ReadProcessMemory_Bin (hProcess, hModule ＋ exportRva, exportDir, 40, 0) ＝ 0)  ' IMAGE_EXPORT_DIRECTORY大小40字节<br />
    调试输出 (“读取导出表失败”)<br />
    返回 (0)<br />
.如果真结束<br />
<br />
numberOfNames ＝ 取字节集数据 (exportDir, #整数型, 24 ＋ 1)  ' NumberOfNames偏移24<br />
addressOfFunctionsRva ＝ 取字节集数据 (exportDir, #整数型, 28 ＋ 1)  ' AddressOfFunctions偏移28<br />
addressOfNamesRva ＝ 取字节集数据 (exportDir, #整数型, 32 ＋ 1)  ' AddressOfNames偏移32<br />
addressOfOrdinalsRva ＝ 取字节集数据 (exportDir, #整数型, 36 ＋ 1)  ' AddressOfNameOrdinals偏移36<br />
.如果真 (numberOfNames ≤ 0)<br />
    调试输出 (“未读取到任何函数”)<br />
    返回 (0)<br />
.如果真结束<br />
<br />
' 准备数组<br />
重定义数组 (addressOfFunctions, 假, 取字节集数据 (exportDir, #整数型, 20 ＋ 1))<br />
重定义数组 (addressOfNames, 假, numberOfNames)<br />
重定义数组 (addressOfOrdinals, 假, numberOfNames)<br />
<br />
' 读取函数地址表<br />
ReadProcessMemory_intarray (hProcess, hModule ＋ addressOfFunctionsRva, addressOfFunctions, 取数组成员数 (addressOfFunctions) × 4, 0)<br />
' 读取名称表<br />
ReadProcessMemory_intarray (hProcess, hModule ＋ addressOfNamesRva, addressOfNames, 取数组成员数 (addressOfNames) × 4, 0)<br />
' 读取序号表<br />
ReadProcessMemory_shortarray (hProcess, hModule ＋ addressOfOrdinalsRva, addressOfOrdinals, 取数组成员数 (addressOfOrdinals) × 2, 0)<br />
<br />
' 遍历名称表<br />
.计次循环首 (numberOfNames, i)<br />
    nameRva ＝ addressOfNames <i><br />
    funcName ＝ 取空白文本 (取文本长度 (函数名))<br />
    .如果真 (ReadProcessMemory_文本型 (hProcess, hModule ＋ nameRva, funcName, 取文本长度 (函数名), 0) ＝ 假)<br />
        调试输出 (“读取函数名失败”)<br />
        返回 (0)<br />
    .如果真结束<br />
    ' 调试输出 (“funcName”, funcName，“nameRva”, nameRva)<br />
    .如果真 (funcName ＝ 函数名)<br />
        返回 (hModule ＋ addressOfFunctions [addressOfOrdinals <i> ＋ 1])  ' 易语言数组从1开始<br />
    .如果真结束<br />
<br />
.计次循环尾 ()<br />
返回 (0)

福仔 · 发表于 3 天前

取变量地址取的是变量在栈上的地址, 然后往栈里写了64个字节, 导致栈数据被破坏
douheader 这个变量地址是存在栈上的, 然而第一行拷贝就已经破坏了这个变量的地址
再访问这个变量就访问了不该访问的地址, 得看看模块的前4个字节转换出来是什么地址, 访问这个变量就是访问这个地址
正确的应该是取变量数据地址, 但是你这样的写法是能读到数据, 读出来的数据也是对的, 但是用doshead这个变量去访问成员得到的值都是错的
因为这个结构WORD类型多, 而在易语言里这个结构会被强制4字节对齐
想用易语言结构能正确的读取到, 那就应该多定义一个拷贝dll命令, 参数是DOS_HEADER 结构

		自动登录	找回密码
密码			注册

[改进提议] 跨进程获取指定32位进程中的DLL里的API函数地址

点评